View
217
Download
0
Category
Preview:
Citation preview
INE5630 Segurança em Computação DistriINE5630 Segurança em Computação Distribuídabuída
11
MIP x HIPMIP x HIPUm Estudo Sobre Um Estudo Sobre
Segurança Em Redes Segurança Em Redes MóveisMóveis
Gino DornellesGino DornellesCalebe Augusto do SantosCalebe Augusto do Santos
Florianópolis, 2008Florianópolis, 2008
INE5630 Segurança em Computação DistriINE5630 Segurança em Computação Distribuídabuída
22
CenárioCenário
Necessidade de conexãoNecessidade de conexão Dispositivos portáteisDispositivos portáteis MobilidadeMobilidade Conexão ativa durante mudança de Conexão ativa durante mudança de
rede de acesso rede de acesso Redes WirelessRedes Wireless Protocolos que permitam mobilidadeProtocolos que permitam mobilidade
INE5630 Segurança em Computação DistriINE5630 Segurança em Computação Distribuídabuída
33
Desafios da MobilidadeDesafios da Mobilidade
Localização do usuário móvelLocalização do usuário móvel RoteamentoRoteamento Protocolos fixos à rede de origemProtocolos fixos à rede de origem Transferência dinâmica entre pontos Transferência dinâmica entre pontos
de conexãode conexão SegurançaSegurança Propostas para Segurança > Propostas para Segurança > MIPMIP
e e HIPHIP
INE5630 Segurança em Computação DistriINE5630 Segurança em Computação Distribuídabuída
44
Mobile IPMobile IP
IETF criou suporte para mobilidade em redes IP IETF criou suporte para mobilidade em redes IP nas versões IPv4 e IPv6nas versões IPv4 e IPv6
A proposta do protocolo Mobile IP (A proposta do protocolo Mobile IP (MIPMIP) é de que o ) é de que o IP seja estendido para permitir que o terminal, IP seja estendido para permitir que o terminal, antes fixo, visite uma rede estrangeira e mantenha antes fixo, visite uma rede estrangeira e mantenha a comunicação ininterrupta sem mudar o seu a comunicação ininterrupta sem mudar o seu endereço IP original. [ALB04]endereço IP original. [ALB04]
INE5630 Segurança em Computação DistriINE5630 Segurança em Computação Distribuídabuída
55
Mobile IP Mobile IP Nó móvel apresenta dois endereços IP:Nó móvel apresenta dois endereços IP:
• Home address Home address • Care-of-addressCare-of-address
Home AddressHome Address: Este endereço não muda, : Este endereço não muda, mesmo que o usuário seja atendido por uma mesmo que o usuário seja atendido por uma célula conectada a outra rede físicacélula conectada a outra rede física
Care-Of-AddressCare-Of-Address: Este endereço muda : Este endereço muda todas as vezes que o usuário muda de rede todas as vezes que o usuário muda de rede físicafísica
INE5630 Segurança em Computação DistriINE5630 Segurança em Computação Distribuídabuída
66
Mobile IP RoteadoresMobile IP Roteadores Home Agent (HA)Home Agent (HA)
Roteador da Rede Nativa do dispositivo Roteador da Rede Nativa do dispositivo móvel móvel
Efetua todo o processo de autenticaçãoEfetua todo o processo de autenticação Redireciona todos os pacotes recebidos da Redireciona todos os pacotes recebidos da
Internet para o Foreign AgentInternet para o Foreign Agent Foreign Agent (FA)Foreign Agent (FA)
Roteador da Rede Estrangeira, onde o Roteador da Rede Estrangeira, onde o dispositivo móvel se encontra no momentodispositivo móvel se encontra no momento
Encaminha os pacotes recebidos do Home Encaminha os pacotes recebidos do Home Agent até o dispositivo móvelAgent até o dispositivo móvel
INE5630 Segurança em Computação DistriINE5630 Segurança em Computação Distribuídabuída
77
Arquitetura Mobile IPArquitetura Mobile IP
INE5630 Segurança em Computação DistriINE5630 Segurança em Computação Distribuídabuída
88
RegistroRegistro
O registro é o processo que consiste em atualizar a localização de um nó móvel (MN) junto ao seu home address (HA)
Essa atualização deve ser feita a cada mudança de domínio administrativo ou após o tempo de validade do registro anterior expirar
INE5630 Segurança em Computação DistriINE5630 Segurança em Computação Distribuídabuída
99
Mecanismo de RegistroMecanismo de Registro
INE5630 Segurança em Computação DistriINE5630 Segurança em Computação Distribuídabuída
1010
TunelamentoTunelamento
Tunelamento é o processo no qual o HA intercepta os pacotes destinados a um MN e os envia ao local em que tal MN se encontra através do encapsulamento
O tunelamento faz parte do processo de roteamento do protocolo Mobile IP
INE5630 Segurança em Computação DistriINE5630 Segurança em Computação Distribuídabuída
1111
Roteamento e Roteamento e Tunelamento no Mobile Tunelamento no Mobile
IPv4IPv4
INE5630 Segurança em Computação DistriINE5630 Segurança em Computação Distribuídabuída
1212
Segurança em Roteamento Segurança em Roteamento de Pacotesde Pacotes
Problema > Autenticação do nó móvelProblema > Autenticação do nó móvel Proposta > utilização do Proposta > utilização do IPSecIPSec
O IPSec introduz o conceito de Associação de Segurança, através de um conjunto de parâmetros que permite negociar algoritmos de cifra que serão utilizados
Associações no IPsec: Modo Transporte e Associações no IPsec: Modo Transporte e Modo TúnelModo Túnel
INE5630 Segurança em Computação DistriINE5630 Segurança em Computação Distribuídabuída
1313
Modo TransporteModo Transporte
INE5630 Segurança em Computação DistriINE5630 Segurança em Computação Distribuídabuída
1414
Modo TúnelModo Túnel
INE5630 Segurança em Computação DistriINE5630 Segurança em Computação Distribuídabuída
1515
HIP (Host Identity HIP (Host Identity Protocol)Protocol) Alternativa ao MIPAlternativa ao MIP introduz um namespace exclusivo ao
host para o processo de identificação durante o ciclo de comunicação
Permitir ao host ser localizado através de
identificadores invariáveis das camadas superiores
INE5630 Segurança em Computação DistriINE5630 Segurança em Computação Distribuídabuída
1616
HIP - CaracterísticasHIP - Características
Separação da localização e identificadorSeparação da localização e identificador
Novo espaço de nome consistindo de Novo espaço de nome consistindo de Host Identifiers (HI)Host Identifiers (HI)
Host Identity Tags (Host Identity Tags (HITsHITs) são ) são representações tipicamente de 128 bits representações tipicamente de 128 bits para as HIspara as HIs
INE5630 Segurança em Computação DistriINE5630 Segurança em Computação Distribuídabuída
1717
Ligação IP na arquitetura atual Ligação IP na arquitetura atual e Ligação dinâmica usando HIPe Ligação dinâmica usando HIP
INE5630 Segurança em Computação DistriINE5630 Segurança em Computação Distribuídabuída
1818
HIP (Host Identity HIP (Host Identity Protocol)Protocol) Hash da chave pública do nó para fazer a
identificação do mesmo durante o processo de validação junto à rede visitada
Mesma chave pública que gerou o hash é usada para criptografar os dados durante a comunicação
Ao contrário do mundo real, com o protocolo HIP um mesmo nó pode ter várias identidades
Mais viável um host criar várias chaves privadas temporárias do que utilizar uma única chave privada permanente, para evitar o rastreamento de atividades que realizou ao longo do tempo
INE5630 Segurança em Computação DistriINE5630 Segurança em Computação Distribuídabuída
1919
Ligação Dinâmica Usando Ligação Dinâmica Usando HIPHIP
A camada de identidade do host utiliza um
identificador (HI - Host Identifier) que representa a identidade de um nó na rede e possui uma ligação dinâmica com o endereço IP, o qual continua
desempenhando a função de localizador do nó na topologia da rede
e é utilizado pelo serviço de roteamento
INE5630 Segurança em Computação DistriINE5630 Segurança em Computação Distribuídabuída
2020
Arquitetura utilizando Arquitetura utilizando HIPHIP
INE5630 Segurança em Computação DistriINE5630 Segurança em Computação Distribuídabuída
2121
Ligação Dinâmica Usando HIPLigação Dinâmica Usando HIP
O HI (Host Identifier) é uma chave pública de uma tupla de chaves pública-privada, na qual a chave pública é acessível para outros nós HIP e a chave privada representa a identidade do host proprietário (somente ele tem a sua posse)
A HIT (Host Identity Tag) é um valor codificado de 128 bits calculado por uma função de hashing sobre o HI. A HIT tem tamanho fixo, o que facilita sua utilização por outros protocolos, é auto certificadora (autentica um host sem a necessidade de uma entidade externa) e possui uma única chave privada correspondente
INE5630 Segurança em Computação DistriINE5630 Segurança em Computação Distribuídabuída
2222
Estabelecimento de uma Estabelecimento de uma sessão HIPsessão HIP
Nó iniciador envia ao outro host (respondedor) uma mensagem inicial contendo as HITs dos dois hosts
Respondedor retorna uma segunda mensagem contendo um desafio computacional que deve ser resolvido para que a comunicação continue
Nó iniciador deve enviar uma terceira mensagem, contendo a resolução do desafio e a autenticação do respondedor, se a mensagem não contiver o desafio computacional resolvido, ela é descartada
Respondedor retornar uma quarta mensagem autenticando o host iniciador e, enfim, são estabelecidas duas associações de segurança IPSec, uma em cada direção do tráfego, e os dados da camadade transporte passam a ser encapsulados
INE5630 Segurança em Computação DistriINE5630 Segurança em Computação Distribuídabuída
2323
Estabelecimento de uma Estabelecimento de uma sessão HIPsessão HIP
INE5630 Segurança em Computação DistriINE5630 Segurança em Computação Distribuídabuída
2424
Conclusões e ObservaçõesConclusões e Observações
Modelos para a implantação de mobilidade Modelos para a implantação de mobilidade são recentes e ainda passam por mudançassão recentes e ainda passam por mudanças
MIP apresenta períodos longos de espera MIP apresenta períodos longos de espera pelo registro de atualizaçãopelo registro de atualização
HIP utiliza o conceito de identidade criptográfica para cifrar as informações como forma de implementação de segurança para a transmissão de pacotes
Implementações para linux. Dentro da proposta do MIP pode-se consultar MIPL - Mobile IPv6 for Linux [MOB 2006]. E para o HIP existe o Infra-Hip [HIP 2006]
Estudo de outros modelos ( Hi³)
INE5630 Segurança em Computação DistriINE5630 Segurança em Computação Distribuídabuída
2525
BibliografiaBibliografia
BALDO. JARDEL PAVAN. Mobile IP x HIP: Um estudo BALDO. JARDEL PAVAN. Mobile IP x HIP: Um estudo sobre segurança em redes móveis. 2007. Monografia. sobre segurança em redes móveis. 2007. Monografia. Faculdade Salesiana de Vitoria in Faculdade Salesiana de Vitoria in http://www.multicast.com.br/sergio/artigos/monografiahttp://www.multicast.com.br/sergio/artigos/monografia-pos-seguranca-mobile-pi-x-hip.pdf-pos-seguranca-mobile-pi-x-hip.pdf
Recommended